Báo động về lỗi bảo mật ứng dụng web

Dự án CVE (Common Vulnerabilities and Exposures) thông qua bản báo cáo về lỗi bảo mật trong các phần mềm ứng dụng đã rung lên hồi chuông cảnh báo về lỗi bảo mật web.

Theo CVE, nguyên nhân chính khiến lỗi bảo mật web vươn lên vị trí dẫn đầu trong bản báo cáo của dự án chính là những sự lơi lỏng trong công việc lập trình web, sự đa dạng của các loại phần mềm ứng dụng web và một số hạn chế trong việc kiểm tra thử nghiệm tính bảo mật của những ứng dụng đó.

Con số từ bản báo cáo cho biết kể từ năm 2005 đến nay số lượng các lỗi bảo mật web tiếp tục gia tăng mạnh mẽ, vươn lên đứng trong Top 3 trong danh sách những lỗi bảo mật thường gặp nhất. Lỗi bảo mật tràn bộ nhớ đệm đã bị đẩy xuống vị trí thứ 4.

Trong 9 tháng đầu năm nay đã có tổng cộng 4.375 lỗi bảo mật web được phát hiện, gần tương đương với con số lỗi bảo mật web được phát hiện trong năm 2005 – 4.538 lỗi.

Nguyên nhân

Steven Christey - một chuyên gia nghiên cứu bảo mật thuộc dự án CVE – cho biết: “Giờ đây các nhà nghiên cứu bảo mật đã bắt đầu chú ý nhiều hơn đến lỗi bảo mật web. Nếu các doanh nghiệp không muốn trở thành nạn nhân của các vụ tấn công qua những lỗi bảo mật đó thì họ cũng cần phải chú trọng hơng đến vấn đề đó.”

Đơn giản trong việc khai thác tấn công, quá nhiều các ứng dụng web miễn phí hay khó khăn trong việc khắc phục lỗi XSS (cross-site scripting) cũng góp phần khiến số lượng các lỗi bảo mật web tăng vọt. Trong khi đó, việc phát hiện các lỗi bảo mật web là tương đối dễ dàng nhưng các chuyên gia nghiên cứu lại thường không mấy mấy mặn mà lắm vì tấn công tìm kiếm lỗi bảo mật web là vì phạm luật chống xâm nhập hệ thống. Minh chứng rõ ràng nhất là trường hợp của Eric McCarty. Chuyên gia quản trị mạng này đã phát hiện được một lỗi bảo mật trong cơ sở dữ liệu ứng dụng trực tuyến của trường ĐH Nam California nhưng sau đó đã bị truy tố vì tội đột nhập trái phép máy chủ.

Christey cho biết các ngôn ngữ lập trình web rất dễ học và sử dụng ngay cả với những người chưa từng có kiến thức lập trình trước đây cũng là một nguyên nhân khác khiến số lượng lỗi bảo mật web gia tăng mạnh mẽ.

Chính sự tồn tại của những ngôn ngữ lập trình web thân thiện dễ dùng như PHP chẳng hạn đã giúp cho cả những người không có nhiều kiến thức cũng lập trình được các ứng dụng web hữu ích nhưng cái giá phải trả lại những lỗi bảo mật. Ngôn ngữ lập trình web dễ học dễ dùng đối với mọi người cũng đồng nghĩa ai cũng có thể phát hiện ra lỗi bảo mật.”

Con số thống kê mới nhất của CVE cho biết các lỗi bảo mật có thể bị tấn công bằng cách chèn thêm mã vào trang web thông qua một trang web khác (Lỗi XSS) chiếm khoảng 21,5% các lỗi bảo mật web được phát hiện từ đầu năm đến nay. Đây là lỗi rất hay bị những kẻ lừa đảo trực tuyến hay script kiddies lợi dụng để lừa gạt người dùng.

Bên cạnh đó, các chuyên gia cũng cảnh báo về việc các ngôn ngữ lập trình web như Javascript hay AJAX có thể bị lợi dụng để tấn công người dùng – đánh dấu sự xuất hiện của những con sâu web. Cuối năm ngoái, sâu Samy nhờ ứng dụng kỹ thuật này đã phát tấn rộng rãi trong cộng động mạng xã hội MySpace, giúp kẻ phát tán ăn cắp thông tin cá nhân người dùng.

Hai lỗi bảo mật web khác thường bị khai thác tấn công là lỗi bảo mật cơ sở dữ liệu dạng cho phép chèn thêm mã (14% số lượng các lỗi bảo mật web) và lỗi bảo mật chèn tệp tin PHP từ xa (9,5%). Đây là hai lỗi đứng vị trí thứ 2 và thứ 3 trong danh sách của CVE.

Việc khó khắc phục các lỗi XSS cũng đồng nghĩa với việc tin tặc sẽ ngày càng chú ý hơn nữa đến các lỗi bảo mật web và tìm ra cách tấn công tốt hơn, Brian Chess – chuyên gia của Fortify Software - khẳng định.

Cùng với đó là sự tương thích kết nối rộng hơn nhờ công nghệ web 2.0 cũng sẽ đi cùng với những hiểm hoạ mới trong tương lai.

Hoàng Dũng

Thứ Tư, 20/09/2006 09:04
31 👨 496
0 Bình luận
Sắp xếp theo